[Technik] Gefährliche USB Sticks - spektakulärer Hack von Berliner Sicherheitsforschern

Zwei Mitarbeiter der

You do not have permission to view link please Anmelden or Registrieren

zeigen eine Schwachstelle auf, die fast alle Geräte mit USB-Anschluss gemeinsam haben. Demnach ist es möglich das ein Angreifer die Kontrolle über den Rechner übernimmt, indem manipulierte USB-Sticks eingesetzt werden.

Im vorliegenden Szenario tut der USB-Stick so, als sei er eine Tastatur. Der Stick lässt sich dabei wie gewohnt nutzen. Vom Nutzer völlig unbemerkt öffnet der Stick mit seinen Tastaturfähigkeiten unsichtbar im Hintergrund die Eingabemaske des Windows-Startmenüs. Dort schreibt er munter Befehle hinein. Somit ist es möglich alle Tastatureingaben zu protokollieren, die Webcam zu aktivieren etc. etc. ...

Quelle:

You do not have permission to view link please Anmelden or Registrieren

 

[Pleitgengeier]

Die wenigsten Ottonormalnutzer haben wohl die UAC deaktiviert (düften nicht mal wissen, was das ist)

Die suchen dann eben bei Google eine Anleitung unter Stichworten wie "Windows zulassen verweigern nervt".

Wenn man bei Google windows zulassen eingibt, ist der 2. Vorschlag "Windows 7 zulassen ausschalten" - da Google die Vorschläge nach Eingabestatistik sortiert, sagt das wohl alles...
Die Ergebnisse dieser Suche sind dann hunderte Anleitungen und Forenthreads über das Abschalten dieser "nervigen" Funktion...


Ich sehe das ständig bei den Windows-Nutzern in meinem Umfeld - darunter sind die meisten Studenten einer Ingenieurwissenschaft...

Ein (hauptberuflicher) Netzwerk-Admin(!) hat mich beim Zocken im TS mal ganz erstaunt gefragt ob ich das denn nicht deaktiviert hätte...

und btw. deaktivierst Du dabei eines der wichtigsten Sicherheitsfeatures Deines Betriebssystems. Das ist, als würdest Du unter Linux dauerhaft als root arbeiten.

Ich weiß, bei mir war es auch nie deaktiviert - auch wenn ich ständig an der Wirksamkeit zweifle...

 

[musv]

ich denke mal einige arbeiten unter Linux als root, weil sie glauben, dass sie als User nichts machen können

Ich hab bei zwei absoluten Daus Linux installiert. Die wissen nicht mal, was root überhaupt ist.

Ich würde mal grob schätzen, dass die Leute, die nur als root arbeiten, wohl eher irgendwelche Script-Kiddie-Windows-Umsteiger sein müssen. In allen anderen Fällen ist man mit dem User-Admin-Prinzip eigentlich vertraut.

 

[Pleitgengeier]

In allen anderen Fällen ist man mit dem User-Admin-Prinzip eigentlich vertraut.

Weil es unter Linux auch anständig funktioniert und nicht nervt.

Root-Rechte brauche ich zum installieren/updaten/deinstallieren von Programmen und zum schreiben auf konfig-Dateien.

Dafür nutze ich dann fast immer sudo.
Nur wenn ich wirklich viel auf einmal mache, logge ich mich in Konsole als Root ein...

 

[evillive]

You do not have permission to view link please Anmelden or Registrieren

Nur dass man auf Linux ohne Rootrechte überhaupt nichts machen kann....

eigentlich habe ich mich darauf bezogen. Nichts machen = readonly. Also muss man wohl als root arbeiten um Programme auszuführen oder Dateien speichern zu können.

Gehen wir mal von Ubuntu aus, wo man nicht 10 Befehle eintippen muss bis etwas läuft.
Muss man root sein um auf einen USB-Stick zu zu greifen? Wenn er automatisch erkannt wird, wohl eher nicht. Eine Tastatur wird auch automatisch erkannt. Was ist interessant für einen Angreifer? Die Dateien auf die nur der root Zugriff hat? Wohl eher nicht. Viele Programme lassen sich auch als User starten. Eine Firewall werden die wenigsten User eingerichtet haben. Also könnte man auch einen eigenen Server starten, man braucht nicht root Rechte. Ich denke mal python wird überall dabei sein. Also muss man seine Schadsoftware so ausliefern, dass man ohne die Installation von zusätzlichen Sachen klar kommt und fertig.

 

[Pleitgengeier]

Zum starten von Servern u.Ä. braucht man Rootrechte.
Zum "Autostart" (zB Eintrag in runlevel x) braucht man Rootrechte, sowie zum ändern der Systemkonfiguration.

Ja, die Schadsoftware könnte breits installierte Programme starten usw.
Aber viel mehr als den User zu ärgern wird man so nicht hinbekommen.

Und die Schadsoftware so zu installieren dass sie beim nächsten Systemstart wieder läuft ist auch nicht drin.

 

[poesie noire]

@Pleitgengeier:

Interessehalber von einem Windows-Benutzer gefragt:

Ist es nicht möglich oder vollkommen ausgeschlossen, das die Schadsoftware Root-Rechte erlangen könnte?



p n

 

[mathmos]

@poesie noire:

Wenn die Schadsoftware beispielsweise eine Sicherheitslücke in einem Programm, auf den der Benutzer Zugriff hat, ausnutzen kann, ist das Erlangen von Root-Rechten durchaus möglich.

 

[Pleitgengeier]

You do not have permission to view link please Anmelden or Registrieren

Die Existenz von Exploits kann man nie ausschließen.

 

[NbN]

Jetzt gibt es den BadUSB Code auf GitHub

You do not have permission to view link please Anmelden or Registrieren

 

[Novgorod]

Warte bis 10 Minuten Inaktivität vom Benutzer. Eingabeaufforderung auf. Befehl raus. Eingabeaufforderung zu.

oh, gerade erst gesehen.. so einfach ist das nicht, denn der "malware" im USB-chip steht ausschließlich nur das zur verfügung, was der windows-standard-tastaturtreiber erlaubt und das ist nicht viel.. soweit ich weiß ist da keine besondere bidirektionale kommunikation vorgesehen, allenfalls das abgleichen des capslock/numlock/scrolllock-status.. insbesondere kann ein tastaturcontroller nicht vom host abfragen, wielange der user inaktiv war oder irgendein feedback auf seine eingaben bekommen (abgesehen vom *-lock-status).. er kann einzig und allein blind (wenn auch ggf. getimert) tastaturbefehle senden, aber nicht dynamisch reagieren..

die ganzen "fancy" tastaturen von logitech & co. haben eine viel aufwendigere bidirektionale schnittstelle, aber eben auch spezielle treiber - dagegen muss so ein präparierter tastaturcontroller mit dem auskommen, was bereits auf dem system installiert ist, und das ist lediglich der standardtreiber (interessant wäre es natürlich, wenn man seinen bösen stick als so ein fancy gerät ausgibt und darauf abzielt, dass auf dem angegriffenen rechner schon so ein logitech o.ä. treiber installiert ist - dann hätte man noch ganz andere möglichkeiten ).. immerhin könnte man das überraschungsmoment nutzen, wenn man solche sticks "gratis" auf irgendwelchen "symposien" verteilt, die dann hinterher durchaus in gewisse firmenrechner gesteckt werden .. ein gutes script wäre mit der (beschränkten) datensammlung und übermittlung per cmd-konsole in wenigen sekunden fertig, darauf könnte kaum ein user reagieren, der das nicht erwartet.. das sollte auch mit user-rechten gehen, sofern der rechner eine internetverbindung hat.. danach könnte man diesen "trick" natürlich nie mehr bringen, aber für eine einmalige aktion ist das perfekt und viel eleganter (aber auch teurer) als irgendeine blöde malware in einer email ..

 

[thom53281]

so einfach ist das nicht, denn der "malware" im USB-chip steht ausschließlich nur das zur verfügung, was der windows-standard-tastaturtreiber erlaubt und das ist nicht viel..

Da hast Du wohl Recht. Aber eine USB-Tastatur ist ja nur eine der Möglichkeiten, wohl die einfachste. Windows unterstützt ja OOTB diverse USB-Geräte, die diverse Möglichkeiten bieten.

Der USB-Stick könnte sich ja auch z. B. als aktiver USB-Hub ausgeben, daran "angeschlossen" eine USB-Tastatur und eine 0815-USB-Soundkarte. Mit der Soundkarte könnte man nach Windows-Systemtönen "lauschen" und nach einer gewissen Inaktivität erst die Tastatur arbeiten lassen. Ob das technisch jetzt auch so einfach ist, wage ich zu bezweifeln. Mit genug Kreativität dürfte aber vieles möglich sein.


Grüße
Thomas

 

[accC]

Naja, er könnte natürlich auch seinen eigenen Treiber mitbringen, was nicht selten bei USB-Tastaturen ist.. und dann?

 

[Novgorod]

hö? ein gerät kann nichts "mitbringen".. wenn man es anstöpselt, kümmert sich der windows-gerätemanager darum und sucht auf dem system (!) nach bereits installierten treibern, wie z.b. für eine standard-tastatur.. wenn kein treiber gefunden wird, wird der user aufgefordert, den treiber bereitzustellen oder auf den laufwerken danach zu suchen - letzteres dürfte eigentlich nicht ohne usereingabe automatisch passieren und braucht sowieso adminrechte.. natürlich kann ein treiber auf einem virtuellen USB-laufwerk "mitgeliefert" werden (wie z.b. bei android-geräten), aber er wird nicht automatisch installiert..

wenn man den user dazu bringen kann, einen beliebigen treiber zu installieren, muss man sich auch keine mühe machen, eine tastatur zu emulieren, denn dann ist der treiber bereits die malware (ein treiber ist ja ein programm, das systemrechte hat!) - ein klassischer trojaner ist da wesentlich weniger aufwendig ..

 

[Der3Geist]

ein gerät kann nichts "mitbringen"..... natürlich kann ein treiber auf einem virtuellen USB-laufwerk "mitgeliefert" werden (wie z.b. bei android-geräten), aber er wird nicht automatisch installiert..

Es gibt unmengen an USB Sticks, welche nach dem Aufstecken eine Partition des USB Sticks anzeigen, auf welchem eine Verschlüsselungssoftware ist, die sich "dank" der Autoplay Funktion von Windows oftmal Selber Installiert.
(Bekanntestes Beispiel sind wohl die AVM W-Lan Sticks)

Da der Gemeine Hobbie Windowsuser die Autoplay Funktion sowieso Aktiviert hat, kann sich auch eine kleine Software in einem Bruchtteil einer Sekunde Installieren.

Genauso kann auch auf diversen USB Hardware geräten eine Software vorhanden sein.

 

[Pleitgengeier]

You do not have permission to view link please Anmelden or Registrieren

Wurde die nicht bei Windoze7 gestrichen und durch ein Menü ersetzt, nachdem auf XP mehrere darauf basierende "Usb-Stick-Viren" umgingen?

Aber der gemeine Dau würde vermutlich sowieso auf ausführen drücken...

 

[Novgorod]

Es gibt unmengen an USB Sticks, welche nach dem Aufstecken eine Partition des USB Sticks anzeigen, auf welchem eine Verschlüsselungssoftware ist, die sich "dank" der Autoplay Funktion von Windows oftmal Selber Installiert.

autoplay ist seit urzeiten auf wechseldatenträgern standardmäßig abgeschaltet (es sei denn der stick gibt sich als CD-laufwerk aus - aber im großen und ganzen ist das längst geschichte).. sollte autoplay doch ohne usereingabe funktionieren (weil man es explizit so eingerichtet hat), dann kann man so direkt die malware installieren, anstatt aufwendig einen spezial-USB-controller zu programmieren .. der "sinn" des ganzen ist doch gerade, dass man ohne zutun des benutzers unter ausnutzung der bereits installierten treiber (zumindest rudimentär) befehle ausführen kann..

 

[Der3Geist]

der "sinn" des ganzen ist doch gerade, dass man ohne zutun des benutzers unter ausnutzung der bereits installierten treiber (zumindest rudimentär) befehle ausführen kann..

Der Sinn darüber ist mir schon klar.
Es ging Hauptsächlich um die Aussage, das ein Gerät Nichts mitbringen kann, was so nicht ganz richtig ist.

 

[accC]

Nun, Autoplay "Wollen sie diesen Treiber wirklich installieren bla bla" - ich bin eine USB Tastatur, dann bestätige ich das doch mal.
Damit hätte man dann einen sich selbst installierenden Treiber - ohne manuelle Nutzerbestätigung.

 

[Novgorod]

Es ging Hauptsächlich um die Aussage, das ein Gerät Nichts mitbringen kann, was so nicht ganz richtig ist.

die aussage stimmt, denn das "mitbringen" bezog sich auch eine vermeintliche magische treiberinstallation durch das gerät selbst, was natürlich nicht der fall ist.. falls das gerät ein datenträger ist, kann er daten mitbringen und das ist auch schon alles..

ich bin eine USB Tastatur, dann bestätige ich das doch mal.

ohne jegliche rückmeldung ist das auch nur ein schuss ins blaue (timings, aktive fenster, UAC, betriebssystem-versionen etc.) und nicht mehr oder weniger effektiv (oder "unsichtbar") als ein direkter angriff mittels konsole..

 

[accC]

Wobei der USB Stick für die entsprechende Eingabe wenige Sekunden braucht, so schnell kann dein Auge aber nicht mal erfassen, was da wirklich passiert ist. Dass da ein Fenster auf und zu springt, dürfte den Durchschnittsnutzer nicht interessieren. Scheint ja normal, weil Windows sowieso "automatisch" irgendwelche Treiber nachläd, sobald ein Gerät angeschlossen wird.